Articles taggés ‘linux’
Tunnel GRE sur Linux
Il est parfois intéressant de monter un tunnel GRE entre deux sites distants pour pouvoir interconnecter deux réseaux sans forcément effectuer le routage sur toute la chaîne de liaison. Ce type de design sert particulièrement dans les architectures BCP (Business Continuity Plan), ou la zone de sauvegarde (DRP - Disaster Recovery Plan) d’un site en particulier a besoin de garder le même adressage IP (cas typique des backup des VMs sous ESX)
QoS sous Linux
Introduction Nous allons voir dans cette article comment il est possible d’appréhender la QoS (Quality Of Service) au travers d’un routeur Linux. Tout d’abord, les prérequis sont les suivants : - Un routeur Linux - Netfilter/iptables - tc Il faut aussi noter qu’il est aisé d’effectuer de la qualité de service sur ce qui est émis par un réseau mais quasi impossible de contrôler ce qui est reçu. Dans la suite de cet article, nous imaginerons ...
Gestion de la RAM sous Linux
Introduction La gestion de la mémoire sous Linux est souvent source de questions et d’inquiétudes. En effet, on se retrouve souvent avec un serveur utilisant 95% de sa mémoire vive. Le but de cet article sera donc d’expliquer les raisons de ce phénomène ainsi que donner quelques pistes afin de pouvoir vérifier si cette utilisation importante a un impact sur les performances de votre serveur. Premièrement, nous allons faire un rapide tour d’horizon sur les différentes ...
Désactiver IPv6 sur Linux
Par défaut ipv6 est activé sur Linux ce qui peut augmenter la surface d'attaque des serveurs et nuire à la lisibilité de certaines commandes : randco@RANDCO-S002 ~ $ip address 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo inet6 ::1/128 scope host valid_lft forever preferred_lft forever 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 1000 link/ether 00:01:c0:06:41:38 brd ff:ff:ff:ff:ff:ff inet6 fe80::201:c0ff:fe06:4138/64 scope link valid_lft forever preferred_lft forever 3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state ...
Netcat et « -e invalid option »
Il est souvent très utile de créer un reverse backdoor shell sur un serveur qui n'est pas accessible directement (par exemple derrière un firewall). C'est alors ce serveur qui lance une connexion sortante vers notre serveur de contrôle. Or sur certaines distributions (dont Ubuntu, Mint,etc..) netcat (ou "nc") ne dispose pas de l'option "-e" qui permet de lui attacher un shell (ou autre). On obtient alors ce message d'erreur : #nc master_srv 1234 -e /bin/bash nc: invalid option ...
Serveur DHCP BIND et IP secondaire
Dans certains cas extrêmes, il peut arriver qu'un serveur DHCP BIND doive distribuer des IPs dans le réseau de son IP secondaire. Dans ce cas , il faut utiliser la directive "shared-network" de façon à englober la définition des 2 réseaux dans le named.conf : shared-network { # réseau primaire Eth0 subnet 192.168.1.0 netmask 255.255.255.00 { ...
Forensics : un cas réel d’intrusion
Dans le cadre de notre activité, un client, dont le serveur web semblait suspect, nous a demandé de réaliser une investigation de l'un de ces serveurs. Description du système: Le système analysé est un Linux Ubuntu hébergeant une application web accessible sur Internet et déployé via Apache. Le serveur est une VM hébergée sur un ESX 3.0. Quelques mois auparavant, nous avions procédé à un autre Forensic d'une de ces VMs (serveur), et nous avons découvert que le système ...
Activation des modules Apache sur Ubuntu 8.0.4 Server
J'ai découvert aujourd'hui qu'Ubuntu offre une intégration assez poussée des sites et des modules Apache avec les commandes : a2dismod a2dissite a2enmod a2ensite On active mod_proxy ainsi : root@ubuntu-804-Server:/etc/apache2# a2enmod proxy Module proxy installed; run /etc/init.d/apache2 force-reload to enable. root@ubuntu-804-Server:/etc/apache2# a2enmod proxy_http Enabling proxy as a dependency This module is already enabled! Module proxy_http installed; run /etc/init.d/apache2 force-reload to enable. Pour ensuite désactiver le module : root@ubuntu-804-Server:/etc/apache2# a2dismod proxy_http Module proxy_http disabled; run /etc/init.d/apache2 force-reload to fully disable. root@ubuntu-804-Server:/etc/apache2# ...
Support du FTP passif sur un serveur protégé par iptables/netfilter
Dans le mode "actif" (ou plus rigoureusement "non-passif"), c'est le client qui fournit les ports TCP (via la commande PORT) sur lesquels doit se connecter le serveur pour transférer les données ou les listings (on parle de connexions DATA, par opposition à la connexion sur le port 21 qui est dite COMMAND). En mode passif, c'est le serveur qui propose ces ports TCP au client (qui a activé le mode passif via la commande PASV) ...
Désactiver la méthode TRACE sur Apache
Par défaut sous Apache, la méthode TRACE est activée ce qui peut conduire à des vulnérabilités de type XSS : # curl -X OPTIONS http://127.0.0.1 -i HTTP/1.1 200 OK Date: Tue, 28 Jul 2009 14:04:13 GMT Server: Apache Allow: GET,HEAD,POST,OPTIONS,TRACE Content-Length: 0 Content-Type: text/html En ajoutant la directive TraceEnable à Off dans le fichier de conf apache 2.x : TraceEnable Off on teste le bon support : # apachectl -t Syntax OK puis on relance Apache et on teste de nouveau : # apachectl restart # curl -X OPTIONS ...